Здесь можно выделить два компонента: единовременные затраты и постоянные затраты. Единовременные требуются однажды, при внедрении DLP в организации; постоянные же, соответственно, ложатся на организацию на протяжении всего периода эксплуатации ею DLP-системы. Слагаемые каждого из видов затрат можно увидеть в следующих формулах:
Единовременные затраты = экспертиза системы ИБ + разработка политик безопасности + стоимость лицензий + стоимость внедрения
Постоянные затраты = техническая поддержка + зарплата ИБ-персоналу
Разберем каждое из этих слагаемых более подробно.
Экспертиза системы ИБ. В крупной организации внедрению DLP-системы должен предшествовать процесс оценки рисков, которые с помощью этой DLP-системы планируется минимизировать. Поэтому необходим предварительный аудит всей системы обеспечения информационной безопасности. Может оказаться, что в данный момент DLP является не самым насущным для организации вопросом, связанным с её информационной безопасностью. Средняя стоимость подобной услуги составляет от 10 до 50 тысяч долларов, но для очень крупных компаний может быть и заметно выше. Небольшая компания, в принципе, может отказаться от этого, приступив сразу к разработке политик безопасности.
Разработка политик безопасности. Чтобы защищать конфиденциальную информацию с помощью DLP-системы, нужно сначала разобраться с тем, какую именно информацию следует относить к конфиденциальной. Для этого, а также для того, чтобы составить должностные инструкции по обеспечению ИБ для персонала, и нужны политики информационной безопасности. Составить их можно самостоятельно, а можно привлечь консалтинговую компанию – тогда это обойдется еще в несколько тысяч «зеленых».
Стоимость лицензий. Чем крупнее организация, тем больше нужно средств на приобретение самой DLP-системы, поскольку обычно лицензии продаются из расчета на одну рабочую станцию. Также цена может зависеть от защиты: чем больше каналов потенциальной утечки необходимо контролировать, тем дороже такая лицензия будет стоить. В среднем, цена за одну рабочую станцию будет колебаться в пределах $200-$1000; всё, что дешевле, вряд ли будет в состоянии обеспечить адекватный уровень защиты.
Стоимость внедрения. В крупных компаниях внедрение DLP-системы проводят компании-интеграторы, которые имеют большой опыт и защищают компанию от рисков, связанных с последствиями неправильного внедрения DLP-системы. В среднем, их услуги удорожат покупку DLP на 15-20%, хотя в отдельных случаях итоговая стоимость может и удвоиться.
Техническая поддержка. Поскольку DLP-система является достаточно сложным и дорогостоящим продуктом, то не всегда ИТ-специалисты, работающие в компании, в состоянии разобраться со всеми нюансами её работы, особенно если что-то работает не совсем в штатном режиме. В то же время, простой DLP-системы оказывается дорогим удовольствием в силу её цены, поэтому экономить на покупке поддержки у производителя нет совершенно никакого смысла. В среднем, поддержка обойдется в сумму, примерно равную 10% от стоимости лицензий на DLP.
Зарплата ИБ-персонала. В зависимости от размеров организации, это может быть один человек, или целый отдел. Зарплата также зависит от географического региона, в котором расположена компания, и множества других вещей, поэтому приводить здесь какие-то средние цифры вряд ли будет уместным. Однако полезно помнить, что труд хорошего ИБ-специалиста должен хорошо оплачиваться, иначе вся дорогостоящая система защиты от утечек данных будет работать не слишком эффективно.
Таким образом, внедрение DLP-системы действительно оказывается довольно дорогим удовольствием, способным «вытянуть» не один десяток тысяч долларов из бюджета компании. Тем не менее, утечки информации, как показывают многочисленные исследования, обходятся компании заметно дороже. Согласно данным Ponemone Institute, средняя «стоимость» одной утечки информации в мире составляет 2,7 млн. долларов. Конечно, бывают утечки, несущие и меньший ущерб, но и в таком случае цена DLP-системы, защищающей компанию от сколь угодно большого числа утечек данных, не кажется такой уж высокой. По исследованиям компании SearchInform, более половины компаний на постсоветском пространстве сталкивались с утечками информации, поэтому если ваша компания еще не вошла в их число, это не означает, что подобного не произойдет завтра.
Что ж, можно сказать, что DLP-система – дорогое, но эффективное лекарство от серьезной болезни, которая способна серьезно повредить бизнесу. А на лекарствах экономить, как известно, себе дороже.
Алексей Дрозд,
заместитель PR-директора компании SearchInform
Единовременные затраты = экспертиза системы ИБ + разработка политик безопасности + стоимость лицензий + стоимость внедрения
Постоянные затраты = техническая поддержка + зарплата ИБ-персоналу
Разберем каждое из этих слагаемых более подробно.
Экспертиза системы ИБ. В крупной организации внедрению DLP-системы должен предшествовать процесс оценки рисков, которые с помощью этой DLP-системы планируется минимизировать. Поэтому необходим предварительный аудит всей системы обеспечения информационной безопасности. Может оказаться, что в данный момент DLP является не самым насущным для организации вопросом, связанным с её информационной безопасностью. Средняя стоимость подобной услуги составляет от 10 до 50 тысяч долларов, но для очень крупных компаний может быть и заметно выше. Небольшая компания, в принципе, может отказаться от этого, приступив сразу к разработке политик безопасности.
Разработка политик безопасности. Чтобы защищать конфиденциальную информацию с помощью DLP-системы, нужно сначала разобраться с тем, какую именно информацию следует относить к конфиденциальной. Для этого, а также для того, чтобы составить должностные инструкции по обеспечению ИБ для персонала, и нужны политики информационной безопасности. Составить их можно самостоятельно, а можно привлечь консалтинговую компанию – тогда это обойдется еще в несколько тысяч «зеленых».
Стоимость лицензий. Чем крупнее организация, тем больше нужно средств на приобретение самой DLP-системы, поскольку обычно лицензии продаются из расчета на одну рабочую станцию. Также цена может зависеть от защиты: чем больше каналов потенциальной утечки необходимо контролировать, тем дороже такая лицензия будет стоить. В среднем, цена за одну рабочую станцию будет колебаться в пределах $200-$1000; всё, что дешевле, вряд ли будет в состоянии обеспечить адекватный уровень защиты.
Стоимость внедрения. В крупных компаниях внедрение DLP-системы проводят компании-интеграторы, которые имеют большой опыт и защищают компанию от рисков, связанных с последствиями неправильного внедрения DLP-системы. В среднем, их услуги удорожат покупку DLP на 15-20%, хотя в отдельных случаях итоговая стоимость может и удвоиться.
Техническая поддержка. Поскольку DLP-система является достаточно сложным и дорогостоящим продуктом, то не всегда ИТ-специалисты, работающие в компании, в состоянии разобраться со всеми нюансами её работы, особенно если что-то работает не совсем в штатном режиме. В то же время, простой DLP-системы оказывается дорогим удовольствием в силу её цены, поэтому экономить на покупке поддержки у производителя нет совершенно никакого смысла. В среднем, поддержка обойдется в сумму, примерно равную 10% от стоимости лицензий на DLP.
Зарплата ИБ-персонала. В зависимости от размеров организации, это может быть один человек, или целый отдел. Зарплата также зависит от географического региона, в котором расположена компания, и множества других вещей, поэтому приводить здесь какие-то средние цифры вряд ли будет уместным. Однако полезно помнить, что труд хорошего ИБ-специалиста должен хорошо оплачиваться, иначе вся дорогостоящая система защиты от утечек данных будет работать не слишком эффективно.
Таким образом, внедрение DLP-системы действительно оказывается довольно дорогим удовольствием, способным «вытянуть» не один десяток тысяч долларов из бюджета компании. Тем не менее, утечки информации, как показывают многочисленные исследования, обходятся компании заметно дороже. Согласно данным Ponemone Institute, средняя «стоимость» одной утечки информации в мире составляет 2,7 млн. долларов. Конечно, бывают утечки, несущие и меньший ущерб, но и в таком случае цена DLP-системы, защищающей компанию от сколь угодно большого числа утечек данных, не кажется такой уж высокой. По исследованиям компании SearchInform, более половины компаний на постсоветском пространстве сталкивались с утечками информации, поэтому если ваша компания еще не вошла в их число, это не означает, что подобного не произойдет завтра.
Что ж, можно сказать, что DLP-система – дорогое, но эффективное лекарство от серьезной болезни, которая способна серьезно повредить бизнесу. А на лекарствах экономить, как известно, себе дороже.
Алексей Дрозд,
заместитель PR-директора компании SearchInform